10. Juli 2007

Eigenes Blog oder Blog-Hosting

Category: Allgemein,Offtopic — Christian @ 22:01

Ein eigenes Blog auf einem eigenen Server hat eigentlich nur Nachteile:

  • Das Betriebssystem muss verwaltet werden
  • Die Blog-Software (hier WordPress) muss installiert und konfiguriert werden
  • Die Arbeit um Patches und Updates einzuspielen
  • Ergänzende Software um z.B. Zugriffsstatistiken zu erzeugen
  • usw. usf.

In diesem Zusammenhang spricht nichts für einen eigenen Server. Solange, bis man anfängt AGB mal wirklich zu lesen. Und da findet man so komische Sätze wie:

    Rechte an den Inhalten der Weblogs
    Zur Veröffentlichung der Inhalte im Rahmen von Portalen räumt der Benutzer dem Betreiber sämtliche erforderliche Bearbeitungs- und Veröffentlichungsrechte ein. Der Betreiber ist somit berechtigt Inhalte (Texte, Fotos, Illustrationen) zu bearbeiten und in bearbeiteter und unbearbeiteter Form zu veröffentlichen.

Ah, nein. Das will ich nicht.

(via Blogbar)

Lebenszeit von Zero Days

Category: Hacking,Produkte — Christian @ 19:15

Immunitysec, das ist die amerikanische Securityfirma von Dave Aitel die 1994 einen netten Report zu TC0 (Total Cost of 0wnership, PDF) geschrieben haben. 0wnership mit 0 wie Null, nicht O wie Otto. Da geht es nämlich darum, dass Angriffe auf Windows zur Übernahme des Systems (owned) weniger Kosten verursachen als unter Unix.

Immunitysec, das ist auch die Firma, die über ein halbes Jahr auf einem Microsoft WINS LocalSystem Zero Day Exploit (PDF) gesessen sind und nichts gesagt haben. Außer natürlich den viel Geld (~50.000 USD) zahlenden Kunden im Vulnerability Sharing Club.

Immunitysec, das ist auch die Firma, die den Spike-Fuzzer sowie den Spike-Proxy OpenSource unter der GPL veröffentlich hat, einen Protokollfuzzer sowie einen Web-Hacking-Proxy mit denen schon eine Reihe von lustigen Sicherheitslücken aufgetaucht sind.

Also, diese Immunitysec behauptet nun, ein von ihnen entdeckter Zero Day hat eine durchnittliche Lebenszeit von 348 Tagen bevor der Lücke entweder von anderen entdeckt oder vom Hersteller geschlossen wird. Unter der Voraussetzung natürlich, dass sie geheim gehalten wird. Mit persönlich kommt das eher etwas wenig vor, insbesondere wenn ich betrachte mit welcher Geschwindigkeit Microsoft die Lücken behebt. Ach ja, und wer öffentlich drüber quatscht, z.B. auf einer Versteigerungsplattform ist die Lücke oft ganz schnell wieder los. Also eigentlich nichts neues. Aber es stand halt auf Heise.

Please move on, there is nothing special to see here.

Persönliche Anmerkung: Dave Aitels Frau, Justine Aitel, geborene Bone kenne ich noch von einem Penetrationstest in Hamburg. Sie hat damals für ISS X-Force gearbeitet und während die X-Force Jungs Abends auf die Reeperbahn sind saß sie im Hotel und hat Zero Day Buffer Overflows gecoded, mit der die Jungs dann am anderen Tag die Systeme übernommen haben.